2026年4月21日、Bloombergが報じた衝撃のニュース──「Anthropicの未公開モデル Claude Mythos Preview に不正アクセスがあった」。サイバー防御のために作られた最強のAIが、発表されたその日のうちに侵入されたのです。しかし、事件の本質は「Mythosがハッキングされた」ではありません。侵入経路はAnthropicのコアシステムではなく、Project Glasswingに参加する第三者ベンダーの環境。攻撃者はそのベンダーで働く個人のアクセス権を悪用し、さらにAnthropicの命名規則からモデルのURLを推測してエンドポイントにたどり着きました。最強のAIでも「デリバリー設計」の弱さは防げない──本記事では、この事件から学ぶ組織セキュリティマナーの7原則を解説します。
事件の経緯:発表当日に起きた「人と設計」の敗北
| 日付 | 出来事 |
|---|---|
| 2026年3月26日 | Anthropic社内CMSの設定ミスで3000件の内部資産が公開扱いに。Claude Mythosの存在が漏洩 |
| 2026年4月7日 | Claude Mythos Preview 正式発表。Project Glasswing同時発足 |
| 2026年4月7日(同日) | 不正アクセスグループがベンダー経由で侵入。URL推測でエンドポイント特定 |
| 2026年4月21日 | Bloombergが報道、事件が表面化。Anthropic公式が「第三者ベンダー環境経由」と認める |
皮肉:攻撃に強いAIなのに、配布方法で負けた
Claude Mythosは、Anthropic自身が「主要OSやブラウザで数千の重大な脆弱性を発見した」と主張する、攻撃側AIとして異常な能力を持つモデルです。それなのに、なぜ発表当日に侵入されたのか?答えはシンプル:「強力なAIを安全に配るデリバリー設計」はAIの能力とは別スキルだからです。
侵入した不正アクセスグループは、未公開AIモデルの情報を追いかけるDiscordコミュニティで、悪意を持って荒らすタイプではなく「触ってみたい」タイプと報じられています。しかしながら、「触ってみたい」レベルのグループでさえ、発表当日に侵入できてしまった事実は、企業のサプライチェーン・セキュリティに対する警鐘になります。
侵入の2つの手口
手口1:ベンダーのアクセス権を悪用
Project Glasswing参加企業(Amazon AWS、Apple、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks等)の委託先ベンダーで働く個人のアクセス権を悪用。Anthropic自体は侵入されていませんが、選抜参加企業の「サプライチェーンの弱い輪」が突破されました。
手口2:URL命名規則からの推測(enumeration)
攻撃グループは、Anthropicが他のモデルで使ってきたURL形式の知識をもとに、Mythosのオンライン上の場所を推測して当てたと報じられています。発表当日に命名規則からエンドポイントを割り出す──典型的な「列挙攻撃(enumeration attack)」で、これもモデル自体の脆弱性ではなくデプロイ運用上のOPSEC(運用セキュリティ)問題です。
Mythosベンダー侵入事件マナーの「やってはいけない」7原則
1. 「AIの能力」と「運用セキュリティ」を混同しない
どんなに強力なAIを導入しても、配布・運用の設計が弱ければ簡単に突破されます。「うちはMythos級のAI入れたから安心」と安堵するのは最大のマナー違反。AI能力とOPSECは独立の評価軸です。
2. 「ベンダーに渡した瞬間、自社の防御圏外」と認識する
Glasswing参加の10組織(Google、Apple、Microsoft等)はトップクラスの防御力を持ちますが、委託先のベンダーまでは同等に守れていなかった。自社セキュリティポリシーを委託先にも適用できる契約・監査体制がない限り、ベンダー経由の情報共有はリスクだらけです。
3. URL命名規則を「推測可能なパターン」にしない
Anthropicが他モデルと揃えた命名規則が、敵に「次のモデルはこのURL」と読まれました。本番環境のエンドポイントは予測可能なパターンを避け、UUID等の推測不能な識別子を使うのがOPSECの基本。「分かりやすさ」と「安全性」はトレードオフです。
4. 「参加企業が多いほど強い」と思わない
Project Glasswingの参加企業が増えるほど、アタックサーフェス(攻撃面)は広がるというジレンマがあります。情報共有による集合知の恩恵と、漏洩リスクの拡大は表裏一体。「選ばれし〇〇社モデル」は一見強そうで、実は脆さを抱えています。
5. 侵入発覚時の「最初の対応」を事前に決めておく
Anthropicの対応は迅速でした──「第三者ベンダー環境経由の不正アクセスを調査中」「Anthropicのシステムへの影響は確認されていない」と透明性を保った声明。事実確認→責任範囲の明確化→透明な情報開示という初動は、企業がインシデント発生時に取るべきマナーの手本です。
6. Discord・SNSコミュニティの脅威を軽視しない
今回の侵入グループは「悪意あるハッカー集団」ではなく「未公開AIモデルを触りたがるコミュニティ」。つまり、趣味レベルの好奇心でも発表当日に突破できた事実は、本格的な攻撃者ならはるかに早く・深く侵入できることを示しています。「うちは標的じゃない」という油断は禁物。
7. 業界全体で「OPSEC共通ガイドライン」を作る姿勢を持つ
一社の教訓を業界全体で共有することが、選抜型コンソーシアムの維持に不可欠です。Anthropicが今回の事件について詳細な事後レポート(Post-mortem)を公開すれば、同じ失敗を繰り返さない業界文化が生まれます。「うちは大丈夫」ではなく「次は自分かも」の姿勢がマナー。
日本企業が学ぶべき5つの教訓
- 委託先監査の強化:自社のSLAだけでなく、ベンダーのセキュリティ実装を定期監査する契約条項を追加
- URL・エンドポイント設計の見直し:推測可能な命名規則を避け、UUID・ランダム文字列を採用
- アクセス権の最小化原則:ベンダーに渡すアクセスは必要最小限かつ時限式に
- 発表と同時にセキュリティ演習:新プロダクト公開直後こそ攻撃が集中する。同日に侵入検知体制を強化
- Post-mortem文化の導入:事件発覚時に隠蔽せず、詳細を社内外で共有する習慣を作る
関連記事
まとめ
Claude Mythos事件が私たちに教えてくれたのは、「最強のAIでも、それを運ぶ道が脆ければ意味がない」というシンプルな真実です。サプライチェーン、命名規則、コミュニティの動向──これら「AI能力そのもの以外」への配慮こそが、2026年以降のセキュリティマナーの核心。選ばれし組織の一員になる前に、自社の「運び方」が突破されないかを問い直すことが、すべての管理職・セキュリティ担当者に求められています。
※本記事は2026年4月21日のBloomberg報道、TechCrunch、BitcoinWorld、CBC News、The Register、The Hacker News等の公開情報に基づきます。
